|
||
|
||
| 病毒起源 蠕虫的历史可以和PC病毒相比肩,早自1988年,Robert Morris Jr即在ARPANET上撰写了全球第一只"因特网蠕虫"(I-Worm)。但之后,蠕虫一直被病毒的光芒所掩盖,直到因特网大行其道之后,蠕虫的重要性及影响力才远远超过病毒。 基本上,蠕虫与病毒的最大差别在于,前着会自行复制及主动散播,但不会感染及更改其它档案,所以就像一只蠕虫经过无性生殖、自体分裂出许多四处爬行的分身小虫一样;而后者也会自行复制,但却会感染、变更、覆盖掉其它档案,但却不会主动散播,也就是必须透过被感染媒介(磁盘、光盘、Email)的传递来被动散播。 ■远程遥控程序(BOT) 看过黑客任务3吗?在锡安城保卫战中,锡安机器人部队炮轰入侵的机器乌贼,其中机器人是需要人来操控的。而在此要介绍的BOT,就是源自于机器人(ROBOT)的简称,不过目前业界对此名词的翻译不一,有遥控程序或傀儡程序等各种翻译名称。不论如何,BOT已成目前计算机黑客的最爱,透过该程序对受害机的植入,黑客就可以远程操控该部计算机,进行入侵其它计算机、发送垃圾邮件、散播恶意程序等作业,就如同远程遥控一台机器人到处作恶一样。 比起单机型的特洛伊木马来说,BOT所造成的伤害更加可怕而全面。毕竟特洛伊木马并无法主动散播,其一次所能"屠城"的对象只限于一台计算机而已。但整合蠕虫主动散播特性的BOT远程遥控程序,则不再只限于单机攻击而已,而能组成数量庞大的机器人部队,到处攻城略地,或对某个特定目标展开惊天动地的分布式阻断攻击(DDoS),所以其所造成的破坏性更加巨大,而影响性也更无远弗届。 一般来说,被BOT感染的计算机就有如同机器人、傀儡、殭尸一般,会不由自主地完全听命做出黑客每个口令下的每一个动作,所以这些被感染的计算机又被称为殭尸(Zombie)。而骇客可以集结众多殭尸计算机形成所谓的殭尸网络(Zombie Networks)或远程遥控网络(Bot Networks,"机器人网络")。换句话说,过去孤军奋战的黑客,不再只是只身一人的怪客而已,而是手握重兵的枭雄。 事实上,BOT源自于IRC BOT这样的小程序,原先只是使用者针对网络实时通讯软件IRC(Internet Relay Chat;IRC)的远程监控小程序,用来监控个人专属通道上的状况、人数等信息。如今的BOT程序不但既由IRC信道远程遥控受害的殭尸计算机,还会由这些殭尸计算机不断地在网上搜寻、入侵、感染其它有系统漏洞的计算机。 换句话说,利用BOT,不法者可轻易地滥发垃圾邮件、扫描漏洞、散播恶意程序或远程窃取密码、个人讯息、档案等各类资料。夸张的是,其还可相互接手其它骇客种下的BOT或后门程序,对此,实在可以用"后患无穷"形容。当然更可怕的就是,黑客可运用一传十、十传百所形成的殭尸大军,对其他有弱点的企业网络展开分布式阻断服务攻击,或是继续扫描感染,不断地加入更多的"生力军",进而滚雪球式地形成更庞大的殭尸军团。 对于BOT的性质归类各家不一,有的视之为蠕虫,有的则归属于后门程序或特洛伊木马,虽然它的特性的确像是后门程序,但由于目前网络上绝大多数的BOT都伴随着蠕虫散播,所以在此将BOT归属于蠕虫一类。由于蠕虫具备强力散播的特性,所以对骇客而言,BOT与蠕虫的结合,才是最佳的组合、最有效率的攻击工具。 由于BOT是藉由扫描漏洞的方式来扩散、繁衍,所以一般网安软件及设备商,多半建议以防火墙的方式来防堵并关闭其入侵的通讯端口。而赛门铁克更提出双向防火墙的防堵措施,以防堵内部感染的BOT,所做的连外举动。 什么是特洛伊木马程序呢?如果最近读者看了特洛伊电影的话,或许能够立即明了该软件的可怕性。它与特洛伊战争中,斯巴达英雄阿基里斯(Achillie)故意留下的木马外表一样无害、可爱甚至非常实用,目前网络上深受网友喜爱下载的共享软件、MP3及游戏,通常是特洛伊木马最喜欢伪装附着的对象。 如果使用者不小心下载了这些内含木马的软件,那么显然就上了现代阿基里斯(黑客)的当了,使用者一下子就变成了待宰的特洛伊国王,使用者计算机中的软件档案、身份帐密等重要数据也成了黑客一心想掠夺的美女海伦(Helen)。特洛伊城的下场读者应该知道吧!那就是国破家亡的屠城,换句话说,读者最后可能面临数据被破坏、硬盘被格式化的悲惨结局。历史上称之为木马屠城记,而防毒业界则称其为「木马攻击」,而业界通常也把特洛伊木马称之为"攻击程序"(Exploit)。 特洛伊木马与前述的病毒及蠕虫都不同,基本上它既不会自我复制、感染,也不会主动散播,只会自我装扮成令人垂涎欲滴的软件,等待愿者上钩的人。 除此之外,在特洛伊木马家族中尚有后门程序(Backdoor)、间谍软件(Spyware)、广告软件(Adware)、拨号程序(Dialers)等,兹将一一介绍于后。 ■后门程序(Backdoor) 所谓后门程序,可以视为特洛伊木马的一种,一般来说,多半将具有远程访问能力的特洛伊木马称之为后门程序,而这类程序多半会扫描计算机中未曾修补的漏洞,以打开一道可远程操控的通讯端口,同时它还会更改计算机系统登录文件。 其实,最常见的状况是,骇客侵入系统后所植下(Drop)的特洛伊木马,才叫做后门程序,接下来黑客就会透过后门程序,远程操控被被予取予求的受害计算机。 此外,也有厂商将后门程序,称之为主动式特洛伊木马,原则上,后门程序一样不会自我复制,也不会主动散播,只不过,目前的威胁及攻击多半采用混合式技术,也就是后门程序也会结合具有主动散播能力的蠕虫,或是具备感染力的病毒,所以具备了主动及繁殖的能力。不论如何,后门与木马,甚至与蠕虫、病毒的界线,已不像一开始时那么截然分明。 1998年出现的Back Orifice,即为后门程序的显例,它只是Windows下的远程管理软件。 ■间谍软件(Spyware) 既然是木马,当然最后是要屠城、要破坏的,但如今,业界大致对于不具破坏力的间谍软件,也归类到特洛伊木马的类别中。 原则上,Spyware并不会破坏使用者计算机中的数据或硬盘,而像是间谍一样地潜入使用者的计算机中,默默地监控记录并上传使用者的操作习性、网页浏览状况,甚或其它个人数据或档案。 Spyware要如何潜入到使用者的计算机中呢?当然与木马一样,伪装潜藏在使用者最喜欢P2P下载的共享软件、MP3或游戏之中。所以Spyware并不会主动散播,也不会感染程序。此外,所谓击键记录器(Keylogger)指的就是Spyware。 ■广告软件(Adware ) 纯粹的Adware只会跳出广告看板,但为了让广告主能够长期追综、收集在线广告的点阅状况,甚至点阅者的操作习性及浏览兴趣等信息,多半会在Adware中加入Spyware。所以目前Adware与Spyware已是一体两面,难以严格区别了。 ■拨号程序(Dialer) 拨号程序属于特洛伊木马的一种,如果使用者喜欢上网逛色情网站那么就得小心了,因为会色情相关或其它好康软件的服务网站中,可能潜藏有这类的拨号程序。一旦使用者中了Dialer木马,该程序会自动连结到付费电话系统网上,如此一来,使用者的网络费可能会不知不觉地提高。 ■恶作剧程序(Hoaxes) 基本上恶作剧程序会伴随垃圾邮件到处乱发,所以可分做两类,一种纯档、不含执行副档的垃圾邮件;另一种是是包含玩笑程序(Joke Program)在内的垃圾邮件。不论哪一种,基本上邮件内都不会包含任何的病毒码或恶意程序。即使是玩笑程序,也不会造成任何破坏,但可能会将使用者的桌面改成色情图片而造成困窘。 至于纯文件的恶作剧程序,可说极尽无聊、胡闹、夸张之能事,藉由一些怂人听闻的语句(例如"很不幸,因为你点阅了本邮件,所以恭喜你中毒了!"),或加上一些子虚乌有的网页连结,来达到吓人及恶作剧的目的。 总而言之,纯粹的恶作剧程序不属于病毒、蠕虫或木马,所以不会感染,也不会主动传播。但网络上仍有结合木马、蠕虫的恶作剧邮件,所以基本的防护还是要建立。过去Y2K、Let’’s Watch TV、Be My Valentine等垃圾邮件即为典型的恶作剧程序。 ■垃圾邮件(Spam) 广义而言,只要是你不想看到的电子邮件,却一而再、再而三地寄来的皆可视之为垃圾邮件。相信目前大部分的人,每天打开信箱所收的信件中,可能有超过一半都是垃圾邮件,使用者还需要麻烦地进行"善后",实在是件令人困扰不已的事情。 由于电子邮件的便利性,除了一般通信、贺卡或商务用途之外,广告商、病毒撰写者及骇客都不约而同的看上这个极佳的传播媒介。「水能载舟,亦能覆舟」,虽然Email相当方便,但用来害人、图利也是极其方便。 也因为如此,垃圾邮件遂成为了有害的病毒、蠕虫、木马的温床,也成为了扰人的恶作剧程序、广告软件、间谍软件的载具。 ■网络钓鱼(Phishing) 网络钓鱼可说是目前网络上最新的诈骗手法,Phising一词,结合了飞客(Phreak)及钓鱼(Fishing)两个字。所谓飞客,是与黑客(Hacker)有所不同的,一般黑客主要目标是个人计算机中的数据或企业组织内部的机密,但飞客的主要目的则是极尽所能地免费打长途电话或行动电话。不论如何,两者都是透过电话网络从中图利。 所以Phising就是透过电话网络,等待被钓到的人,然后从中图利的意思,不过,同样是基于"愿者上钩"原理,网络钓鱼的名称比起特洛伊木马似乎更来得直接、贴切。在此另外要强调的是,虽然Phising的字源之一来自飞客,但它并非是飞客的专属工具,不论黑客或有心人士都有可能利用它来作案。 通常Phising是以垃圾邮件做为诈骗的媒介,并会伪装成政府、金融单位或拍卖网站的来信,要求依照邮件上的网页连结来更新客户数据,并从中窃取客户的机密数据,例如金融卡密码或信用卡账号等,进而导致使用者的银行存款被盗领,信用卡被盗刷。 最可怕的是,Phising邮件及连结的网页,与真实被模仿的金融组织、政府机构或拍卖网站的邮件格式、商标、网页连结,乃至网页层次结构都一模一样,所以受害者可能无法警觉到有何异状。 由这点来看,笔者非常怀疑Phising的手法是仿自于蜜罐诱饵技术(Honey Pot)。Honey Pot原为政府机构、研究组织或网安厂商为了追综骇客犯案手法的一项技术,该技术是建立一个与真实网站相似的假网站,用以引诱黑客「入侵」,并从中观察黑客的技术、手法及破坏等模式。令人哭笑不得的是,过去原本要"引狼入瓮"的假网站技术,如今却被用来诈骗一般人的机密数据。 一个有心害人图利的黑客,当然是极尽所能、毫不客气,所以Phising通常会结合其它的技术来达到多重的目的,例如在网页上内嵌恶意Script程序,让使用者不经意点阅时中毒,并在使用者计算机系统植入后门程序或BOT程序。 总而言之,如今网络上的威胁是多样化的,所以也需要多层次的防御体系的建立才能因应。目前网安及防毒厂商也开始在其产品及服务中加入多功能及主动式防御的概念及技术,以因应诡谲多变的恶意及黑客攻击。就各家新版的防毒软件而言,目前也陆续导入防网络钓鱼、防垃圾邮件的新功能。不论如何,身处如此险恶的网络环境中,除了应有的辅助工具之外,最重要的还是安全意识及观念的建立,如此才有进一步防范的动力。 |
||
| :查看相关: | ||